Vulnerabilidad en Undici (CVE-2024-24758)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
16/02/2024
Última modificación:
17/12/2024
Descripción
Undici es un cliente HTTP/1.1, escrito desde cero para Node.js. Undici ya borró los encabezados de Autorización en redirecciones de origen cruzado, pero no borró los encabezados "Proxy-Authentication". Este problema se solucionó en las versiones 5.28.3 y 6.6.1. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
3.90
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:undici:*:*:*:*:*:node.js:*:* | 5.28.3 (excluyendo) | |
| cpe:2.3:a:nodejs:undici:*:*:*:*:*:node.js:*:* | 6.0.0 (incluyendo) | 6.6.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/11/1
- https://github.com/nodejs/undici/commit/b9da3e40f1f096a06b4caedbb27c2568730434ef
- https://github.com/nodejs/undici/security/advisories/GHSA-3787-6prv-h9w3
- https://security.netapp.com/advisory/ntap-20240419-0007/
- http://www.openwall.com/lists/oss-security/2024/03/11/1
- https://github.com/nodejs/undici/commit/b9da3e40f1f096a06b4caedbb27c2568730434ef
- https://github.com/nodejs/undici/security/advisories/GHSA-3787-6prv-h9w3
- https://security.netapp.com/advisory/ntap-20240419-0007/